یک آسیب‌پذیری تازه کشف‌شده در نرم‌افزار AnyDesk که برای دسترسی از راه دور بسیار محبوب است، نگرانی‌های جدیدی در حوزه امنیت سایبری ایجاد کرده است. این حفره امنیتی با شناسه CVE-2024-12754 و شماره پیگیری ZDI-24-1711، مربوط به نحوه مدیریت تصاویر پس‌زمینه ویندوز (Desktop Background) بوده و به مهاجمان محلی اجازه می‌دهد تا به فایل‌های حساس سیستم دسترسی پیدا کنند و حتی سطح دسترسی خود را تا حد ادمین افزایش دهند. این آسیب‌پذیری بر اساس معیار CWE-59 طبقه‌بندی شده و با امتیاز CVSS برابر با 5.5 (سطح متوسط) نشان‌دهنده امکان نشت اطلاعات مهم یا اجرای عملیات خطرناک در سیستم است.

بر اساس گزارش پژوهشگر امنیتی، “Naor Hodorov”، مشکل از آنجا ناشی می‌شود که AnyDesk هنگام برقراری یک جلسه جدید، تصویر پس‌زمینه فعلی ویندوز را در مسیر C:\Windows\Temp کپی می‌کند. سرویس AnyDesk با سطح دسترسی NT AUTHORITY\SYSTEM اجرا می‌شود و در نتیجه، این فرآیند امکان کپی فایل‌ها را با بالاترین سطح دسترسی فراهم می‌کند. مهاجم با داشتن کمترین سطح دسترسی محلی (Low Privileges) می‌تواند با ایجاد فایل‌های جعلی و استفاده از Junction (نوعی Symbolic Link)، مسیر کپی فایل‌ها را به فایل‌های سیستمی حساس نظیر SAM، SYSTEM و SECURITY هدایت کند. پس از دسترسی به این فایل‌ها، مهاجم قادر است اطلاعات احراز هویت رمزگذاری شده را استخراج کرده و در نهایت به سطح دسترسی ادمین برسد.

با این روش، فرد مهاجم می‌تواند فایل‌هایی را پیش از کپی در C:\Windows\Temp ایجاد کند تا پس از جایگزینی توسط AnyDesk، به داده‌های حیاتی سیستم دست یابد. این فایل‌ها سپس مالکیت و دسترسی را از حساب سیستم (SYSTEM) به ارث می‌برند و در حالت عادی، کاربران سطح پایین قادر به مشاهده آن‌ها نیستند. اما با طراحی دقیق Junctionها و بازنویسی داده‌ها، عملاً امکان خواندن و کپی پرونده‌های حساس میسر می‌شود.

راهکار اصلی برای جلوگیری از این حمله، به‌روزرسانی AnyDesk به نسخه 9.0.1 یا جدیدتر است که وصله‌های لازم برای این آسیب‌پذیری را شامل می‌شود. علاوه بر آن، کارشناسان امنیتی توصیه می‌کنند دسترسی کاربران کم‌امتیاز را محدود کنید، Junctionهای غیرضروری را غیرفعال نمایید و از ابزارهایی برای پایش رفتارهای مشکوک در زمینه کپی و دستکاری فایل‌ها استفاده کنید. این کشف نشان می‌دهد که حتی قابلیت‌های ساده‌ای مانند تنظیم تصویر پس‌زمینه هم می‌توانند به‌عنوان نقطه ورود برای ارتقای دسترسی در سیستم‌ها مورد سوءاستفاده قرار گیرند. در نتیجه، هوشیاری مداوم و اتخاذ راهکارهای امنیتی چندلایه برای پیشگیری از مخاطرات مشابه الزامی است.